從 XZ 到 Crowdstrike ——供應(yīng)鏈攻擊的影響和未來(lái)意義

全球化與數(shù)字化使得世界經(jīng)濟(jì)的許多方面高度依賴(lài)技術(shù)，如智能手機(jī)和筆記本電腦，而這些技術(shù)又依賴(lài)于制造商定期提供的軟件和安全更新。這種錯(cuò)綜復(fù)雜的實(shí)體、資源、商品和服務(wù)網(wǎng)絡(luò)構(gòu)成了一個(gè)供應(yīng)網(wǎng)格，使我們今天所熟知的國(guó)際貿(mào)易、旅行和商業(yè)成為可能。

為了實(shí)現(xiàn)這些軟件更新，當(dāng)公司向其設(shè)備推送更新時(shí)，人們會(huì)默認(rèn)信任這些更新是無(wú)惡意軟件且無(wú)錯(cuò)誤的。這種默認(rèn)的信任讓供應(yīng)鏈攻擊變得對(duì)威脅行為者來(lái)說(shuō)頗具吸引力。通過(guò)獲取制造商的基礎(chǔ)設(shè)施訪問(wèn)權(quán)限，威脅行為者能夠在合法的軟件更新中注入惡意軟件，這可能成為最有效和最危險(xiǎn)的攻擊途徑之一。這種攻擊途徑并不是一個(gè)新概念，近年來(lái)如ShadowPad、CCleaner和ShadowHammer等事件表明，只要攻擊者下定決心，就能進(jìn)入受保護(hù)最嚴(yán)密的網(wǎng)絡(luò)。然而，最近的 Crowdstrike 事件表明了供應(yīng)鏈的重要性，以及一旦出錯(cuò)將造成的空前規(guī)模的影響，從而對(duì)供應(yīng)鏈的脆弱性和我們今天對(duì)供應(yīng)鏈的依賴(lài)性提出了新的問(wèn)題。

從世界協(xié)調(diào)時(shí)間2024 年 7 月 19 日（星期五）04:09 開(kāi)始，持續(xù)大約兩到三天，全球經(jīng)濟(jì)陷入停滯，原因是 CrowdStrike 發(fā)布了一次內(nèi)容配置更新。CrowdStrike 是一家美國(guó)網(wǎng)絡(luò)安全公司，是少數(shù)幾家獲得 Windows 操作系統(tǒng)內(nèi)核權(quán)限的公司之一。

據(jù)媒體報(bào)道，包括醫(yī)院、銀行、航空公司等關(guān)鍵基礎(chǔ)設(shè)施，以及美國(guó)宇航局、聯(lián)邦貿(mào)易委員會(huì)、國(guó)家核安全管理局、緊急情況 911 呼叫中心、菲律賓政府網(wǎng)站等關(guān)鍵政府基礎(chǔ)設(shè)施，其系統(tǒng)運(yùn)行 Windows 并受到 Crowdstrike 的保護(hù)，都受到錯(cuò)誤更新的影響，無(wú)法正常運(yùn)營(yíng)。目前，這可以被認(rèn)為是歷史上最嚴(yán)重的停機(jī)事件，造成了前所未有的經(jīng)濟(jì)損失。

受影響的系統(tǒng)包括在 2024 年 7 月 19 日（世界協(xié)調(diào)時(shí)）星期五 04:09 至 2024 年 7 月 19 日（世界協(xié)調(diào)時(shí)）星期五 05:27 期間在線并收到更新的運(yùn)行 7.11 及以上版本傳感器的 Windows 主機(jī)。Mac和Linux主機(jī)未受影響。最終，這種情況并非由任何高級(jí)持續(xù)性威脅 (APT) 引起，而是由一個(gè)錯(cuò)誤的軟件更新引起的，其展示了完美執(zhí)行的供應(yīng)鏈攻擊可能帶來(lái)的后果。不過(guò)，這并不是第一次供應(yīng)鏈故障事件，因?yàn)橹耙舶l(fā)生過(guò)類(lèi)似事件，如在一次復(fù)雜的行動(dòng)中，Linux XZ 庫(kù)遭到入侵。

2024年初，Linux XZ Utils項(xiàng)目，一組免費(fèi)的數(shù)據(jù)壓縮命令行工具和庫(kù)，被發(fā)現(xiàn)遭受了供應(yīng)鏈性質(zhì)的攻擊。該攻擊是一個(gè)高度復(fù)雜和精密的后門(mén)，它被巧妙地混淆和隱藏，巧妙地隱藏并篡改了OpenSSH的邏輯，OpenSSH是Secure Shell（SSH）協(xié)議的一個(gè)實(shí)現(xiàn)，從而實(shí)現(xiàn)未經(jīng)授權(quán)的訪問(wèn)。SSH 也是一種加密網(wǎng)絡(luò)協(xié)議的名稱(chēng)，用于安全地操作設(shè)備，包括企業(yè)服務(wù)器、物聯(lián)網(wǎng)設(shè)備、網(wǎng)絡(luò)路由器、網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備等。

目前，數(shù)以千萬(wàn)計(jì)的物聯(lián)網(wǎng)（IoT）家用電器、數(shù)百萬(wàn)臺(tái)服務(wù)器、數(shù)據(jù)中心和網(wǎng)絡(luò)設(shè)備依賴(lài)于SSH，這可能導(dǎo)致一場(chǎng)災(zāi)難，其規(guī)模將遠(yuǎn)超CrowdStrike事件。開(kāi)源軟件公司 紅毛（Red Hat ）指出，這一事件在 NIST 國(guó)家漏洞數(shù)據(jù)庫(kù)中被編號(hào)為 CVE-2024-30942，其最高嚴(yán)重程度評(píng)分為 10，承認(rèn)其可能被惡意威脅行為者利用。

取證分析表明，這些提交是由一名用戶(hù)名為 JiaT75（又名 "Jia Cheong Tan"）的 GitHub 用戶(hù)操作的，該用戶(hù)從 2021 年開(kāi)始加入 XZ Utils 項(xiàng)目團(tuán)隊(duì)并為 XZ 項(xiàng)目做出貢獻(xiàn)。JiaT75的身份尚不確定，因?yàn)榭赡艽嬖诙鄠€(gè)威脅行為者共用一個(gè)賬戶(hù)的情況，盡管已知該賬戶(hù)使用新加坡的VPN并在UTC+8時(shí)區(qū)操作。

就像披著羊皮的狼一樣，JiaT75通過(guò)與項(xiàng)目其他貢獻(xiàn)者社交并提供積極貢獻(xiàn)，逐漸建立了信任，最終獲得了維護(hù)XZ項(xiàng)目檔案的控制權(quán)，并獲得了合并提交的權(quán)限。人們發(fā)現(xiàn)XZ/libzma構(gòu)建被修改，并被一系列復(fù)雜的混淆手段所掩蓋，成為某些操作系統(tǒng)上SSH的依賴(lài)項(xiàng)，實(shí)質(zhì)上允許對(duì)受感染系統(tǒng)進(jìn)行無(wú)限制的訪問(wèn)。

幸運(yùn)的是，這一事件被及時(shí)發(fā)現(xiàn)，目前研究仍在進(jìn)行中，但它突出表明，社會(huì)工程學(xué)與開(kāi)源軟件的特性相結(jié)合，仍然是供應(yīng)鏈攻擊的另一個(gè)可行途徑。

人工智能正越來(lái)越多地融入社會(huì)，其應(yīng)用領(lǐng)域包括優(yōu)化智慧城市的基礎(chǔ)設(shè)施、提升醫(yī)療、教育、農(nóng)業(yè)等。與任何技術(shù)一樣，人工智能并非無(wú)懈可擊，它依賴(lài)于學(xué)習(xí)模型和訓(xùn)練來(lái)獲得有意義的輸入，而這些輸入可能受到供應(yīng)鏈攻擊，被注入惡意內(nèi)容。